ΑρχικήinetΗ Apple ανακοινώνει Bug Bounty πρόγραμμα μόνο με πρόσκληση

Η Apple ανακοινώνει Bug Bounty πρόγραμμα μόνο με πρόσκληση

Η Apple ανακοίνωσε στο Black Hat USA 2016 συνέδριο ασφάλειας που μόλις τελείωσε στο Last Vegas λίγες ώρες πριν, ότι η εταιρεία θα ξεκινήσει τη σύσταση και έναρξη ενός bug bounty προγράμματος μέσα στους επόμενους μήνες.

Μεταξύ των Silicon Valley ελίτ, η Apple ήταν ένας από τους λίγους τελευταίους γίγαντες τεχνολογίας που δεν έτρεχε ένα bug bounty πρόγραμμα. Η Microsoft έχει ένα, η Google έχει ένα, το Twitter έχει ένα, η Yahoo έχει ένα και το ίδιο κάνουν και οι Tesla, Uber και πολλές άλλες.

Η Apple ανακοινώνει Bug Bounty πρόγραμμα μόνο με πρόσκληση

Πολλοί έμειναν έκπληκτοι από το γεγονός ότι ο Ivan Krstic, ο επικεφαλής ασφάλειας της Apple συμφώνησε να κάνει μια δημόσια συζήτηση για τα χαρακτηριστικά ασφαλείας της εταιρείας, τα οποία μέχρι τώρα έχουν κρατηθεί μυστικά. Κανένας δεν περίμενε την μεγάλη ανακοίνωση που κατέφτασε κατά τη διάρκεια της παρουσίασής του, κλείνοντας το Black Hat με καλές εντυπώσεις.

Η Apple είπε ότι το πρόγραμμα θα είναι μια υπόθεση μόνο με πρόσκληση στο πρώτο στάδιό του, με λίγους επιλεγμένους ερευνητές ασφαλείας να καλούνται να συμμετάσχουν.

Καθώς το πρόγραμμα ωριμάζει και καθώς η ομάδα ασφαλείας της Apple συνηθίσει να συνεργάζεται με εξωτερικές αναφορές σφαλμάτων, το πρόγραμμα σιγά σιγά θα ανοίξει και για περισσότερους ερευνητές και στη συνέχεια για ολόκληρη την INFOSEC κοινότητα.

Περίπου στους 24 ερευνητές ασφαλείας αναμένεται να ενταχθούν στο πρόγραμμα στην αρχική του φάση. Η εταιρεία δεν αποκάλυψε αν θα αναπτύξει τη δική της πλατφόρμα για τη διαχείριση σφαλμάτων, όπως οι Facebook, Google και Microsoft ή αν θα χρησιμοποιήσει υπηρεσίες τρίτων από το HackerOne ή το Bugcrowd.

Ακόμα και αν δεν αναφέρθηκε στην παρουσίαση του Krstic, το πρόσφατο FBiOS σκάνδαλο έπαιξε έναν τεράστιο ρόλο στην απόφαση της εταιρείας να πάρει εξωτερική βοήθεια για την επίλυση και τη εξασφάλιση των προϊόντων της και από τους χάκερ αλλά και από τις επιθέσεις με κρατική υποστήριξη.

Κατά τη διάρκεια του φετινού Black Hat συνεδρίου ασφάλειας, και άλλες πολλές εταιρείες ανακοίνωσαν bug bounty προγράμματα. Ο κατάλογος περιλαμβάνει την Ρωσική εταιρεία κατασκευής antivirus Kaspersky Lab, την εταιρεία κατασκευής hardware Panasonic και τον οικονομικό γίγαντα MasterCard.

Παρακάτω είναι οι βαθμίδες ανταμοιβών που ανακοίνωσε η Apple για το πρώτο στάδιο του προγράμματος. Η εταιρεία είπε ότι περαιτέρω σφάλματα θα ανταμειφθούν κατά την κρίση της. Επιπλέον, εάν οι ερευνητές αποφασίσουν να δώσουν την bug ανταμοιβή τους για φιλανθρωπικούς σκοπούς, η Apple μπορεί και να διπλασιάσει το ποσό. Ωστόσο, δεν υπάρχουν λεπτομέρειες σχετικά με ποια προϊόντα εμπίπτουν στο πεδίο εφαρμογής του bug bounty προγράμματός της.

Τύπος Bug Ανταμοιβή
Secure boot firmware components Μέχρι και $200,000
Extraction of confidential material protected by the Secure Enclave Processor Μέχρι και $100,000
Execution of arbitrary code with kernel privileges Μέχρι και $50,000
Unauthorized access to iCloud account data on Apple servers Μέχρι και $50,000
Access from a sandboxed process to user data outside of that sandbox Μέχρι και $25,000

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS